*すでに、サイバーレジリエンス法 (CRA) を、2024 年 12 月 10 日に発効されており、2026年9月11日から、一部適用されます。
*各種製品において「CRAへの適合」が必須になります。
(1)「CRA」の「製造者の報告義務」は「2026年9月11日」から適用されます。
(2)それ以外の全面的適用は 「2027年12月11日」から施行になります。
注:上記(1)はEUに「すでに販売している製品」にも、適用されることです!
このCRAは、「デジタル要素を備えた製品(H/W,S/W)」に対する「サイバーセキュリティ必須要件」を導入している。
特に、特定された脆弱性に対処するためのセキュリティ サポートとソフトウェア アップデートの提供等をメーカーに義務付けることで、メーカーの責任を義務化し、消費者をより確実に保護することを目的としている。
*2026年9月11日までに「脆弱性等の報告義務」への「主な準備」
(1)報告ルートの確立:自社内の体制とENISA(欧州サイバーセキュリティ庁)が設置する「単一報告プラットフォーム」への報告手順を確立。
(2)タイムラインの遵守体制:①24時間以内: 早期警告、②72時間以内: 脆弱性通知、14日以内: 最終報告の体制等の確認
(3)サポート期間の明確化:新規&既存製品について、セキュリティサポート提供の明確。
*罰金は厳しい内容:以下のように「3段階」です。